Para empezar esta hoja de ruta, quiero señalar que tiene como objetivo ser una guía, no pretende ser la "guía definitiva", por lo que si tiene puntos de vista diferentes o entiende que hay formas mejores de plantear la hoja de ruta, hagamelo saber en los comentarios. Aclarado esto, empecemos.
1 - ISACA
También conocida como Information Systems Audit and Control Association, o en español, Asociación de Control y Auditoría de Sistemas de Información.
ISACA es una asociación profesional internacional enfocada en el gobierno de T&I (tecnología e información). ISACA a nivel mundial engloba el ITGI (Information Technology Governance Institute) y el CMMI Institute.
Es una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de información.
1.1 Estructura de ISACA
Defino la estructura de ISACA como lo que podemos aprovechar de lo que ofrece la asociación para aplicar a nuestras practicas de auditoria.
-
Certificaciones:
- CISA (Auditor de Sistemas de Información Certificado):
- CISM (Gerente de Seguridad de la Información Certificado):
- CGEIT (Certificado en el Gobierno de la TI empresarial):
- CRISC (Certificado en el Control de Sistemas de Información y Riesgos):
- CSX-P (Certificación de practicante de ciberseguridad):
- CDPSE (Ingeniero certificado en soluciones de privacidad de datos):
-
Frameworks, Estándares y Modelos:
Parece mucho para estudiar 🥴 ...
Para empezar no es necesario leer todo desde mi criterio, pero conocer de forma general y saber que ese material esta disponible para cuando llegue el momento de contar con mas experiencia en el campo y profundizar algunos temas. Por eso lo que leí yo de todos esos recursos y recomiendo para empezar fue:
- CISA: No hacer la certificación, para ello se necesita experiencia como auditor en entrenamiento en varias auditorias, sino buscar una guía de estudio sobre la certificación y leer el primer capitulo donde se puede ver panorama general y el capitulo donde se describe un proceso de auditoria.
-
IT Audit Framework (ITAF™): es un framework de practicas profesionales para auditorias de TI, donde podra encontrar estándares, lineamientos, herramientas y técnicas para orientar y asegurar la calidad del proceso de auditoria. De manera general es bueno conocer su estructura que es la siguiente:
-
Estándares, divididos en tres categorías:
- Estándares generales (serie 1000): Los principios de orientación según los cuales operan los profesionales de auditoría y aseguramiento de SI. Se refieren a la realización de todas las asignaciones y se ocupan de la ética, independencia, objetividad, debido cuidado, conocimiento, competencia y habilidad de los profesionales de auditoría y aseguramiento de SI. Las declaraciones de los estándares (en negrita) son obligatorias.
- Estándares de desempeño (serie 1200): Se refieren a la realización de la asignación; es decir, planificación y supervisión, alcance, riesgo e importancia, movilización de recursos, gestión de supervisión y asignaciones, evidencia de auditoría y aseguramiento, y la puesta en práctica del juicio profesional y debido cuidado.
- Estándares de reportes (serie 1400): Se refieren a los tipos de reportes, medios de comunicación y a la información comunicada.
-
Lineamientos, que respaldan los estándares y también están divididos en tres categorías:
- Lineamientos generales (serie 2000)
- Lineamientos de desempeño (serie 2200)
- Lineamientos de reportes (serie 2400)
- Herramientas y técnicas, que brindan orientación adicional para los profesionales de auditoría y aseguramiento de SI; por ejemplo, libros blancos, programas de auditoría/aseguramiento de SI, la familia de productos de COBIT 5
-
Estándares, divididos en tres categorías:
2 - Estándares
El conocimiento de estándares internacionales es fundamental, pero lo es mas aun conocer primero a quienes crean tales estándares, se lista algunas organizaciones/institutos:
Y algunos de los estándares que se deben conocer:
- ISO/IEC 27001
- ISO/IEC 27002
- ISO/IEC 17799
- NIST 800-53
Top comments (0)